Permalänk
Medlem

Wireguard i custom router

Testade precis Wireguard via TunSafe klienten på Windows mot AzireVPN och herre jävla vad fort det går. Trots att vi snackar en windowsbaserad mjukvaruklient här så blåser den brallorna av min pfSense (OpenVPN) router på dedikerad hårdvara. Nu kör visserligen denna Wireguard klient på en kraftfull PC ska erkännas, men ändå.

Så naturligtvis föds tanken, vad finns det för alternativ att köra en egen router med något annat än pfSense? Finns det några stabila image att utgå ifrån som inte kräver hysteriska mängder CLI knackande och annat, kanske tom ett webbgränssnitt?

Permalänk
Permalänk
Medlem

@improwise: Snubblade in på wireguard jag med. Har du hunnit testa detta något mer?

Permalänk
Medlem
Skrivet av Joulester:

@improwise: Snubblade in på wireguard jag med. Har du hunnit testa detta något mer?

Nej, mer än att jag kört det på Windows och noterat hastigheter som OpenVPN inte är i närheten av. Hoppas på regn i somar så jag kan slänga in OpenWRT och testköra där

Permalänk
Medlem

@improwise: Vet du om det finns några leverantörer där ute som har wireguard?

Permalänk
Inaktiv

Den är inte färdig än så det är knappast relevant att jämföra med säkra VPN som OpenVPN. Intressant att leka med men inte något man ska lita på tills version 1.0 är ute och den har analyserats av folk som vet vad de håller på med.

Permalänk
Medlem
Skrivet av Joulester:

@improwise: Vet du om det finns några leverantörer där ute som har wireguard?

Gissar att du menar VPN leverantörer, då vet jag att iaf AzireVPN och Mullvad har stöd för det. AzireVPN erbjuder det tom gratis, gjorde det iaf tidigare.

Permalänk
Medlem

@improwise: Såg att mullvad leverar det. Jag är dock intresserad om detta kommer till bsd snart. vore trevlig att köra det i pfsense eller opensense 1

Permalänk
Medlem
Skrivet av anon127948:

Den är inte färdig än så det är knappast relevant att jämföra med säkra VPN som OpenVPN. Intressant att leka med men inte något man ska lita på tills version 1.0 är ute och den har analyserats av folk som vet vad de håller på med.

Såg det nu. Ska dock bli intressant att följa :).

Permalänk
Inaktiv
Skrivet av Joulester:

@improwise: Såg att mullvad leverar det. Jag är dock intresserad om detta kommer till bsd snart. vore trevlig att köra det i pfsense eller opensense 1

Den är ute för opnsense men du måste installera det genom CLI. Bäst att testa på något som är inte känsligt

Skrivet av Joulester:

Såg det nu. Ska dock bli intressant att följa :).

Precis. Det är intressant idé men jag är lite orolig att den är lite för enkel för att fungera väl i lite mer avancerade setup. I för sig kanske det löses av att den visar upp sig som ett interface så att man låter allt annat åt firewallen. Tycker om OpenVPNs möjlighet att tillåta kommunikation mellan klienter på samma VPN och annat liknande

Permalänk
Medlem

Håller tummarna för att Wireguard visar sig vara såpass säkert som det påstås.. Ser framemot dagen då man kan skicka kundernas grovt överprisade Cisco ASO:r i elektronikåtervinningen i förmån för motsvarande PFSense dito (Typ Netgate SG-3100)

Permalänk
Medlem
Skrivet av wille61:

Håller tummarna för att Wireguard visar sig vara såpass säkert som det påstås.. Ser framemot dagen då man kan skicka kundernas grovt överprisade Cisco ASO:r i elektronikåtervinningen i förmån för motsvarande PFSense dito (Typ Netgate SG-3100)

Är väl främst prestandan som talar för Wireguard vs OpenVPN eller finns det även säkerhetsskäl som skäl att byta?

Permalänk
Medlem
Skrivet av improwise:

Är väl främst prestandan som talar för Wireguard vs OpenVPN eller finns det även säkerhetsskäl som skäl att byta?

Osäkert hur säkert Wireguard är.

Permalänk
Medlem
Skrivet av improwise:

Är väl främst prestandan som talar för Wireguard vs OpenVPN eller finns det även säkerhetsskäl som skäl att byta?

Det är ju just det, säkerheten är ännu ej bekräftad så vitt jag vet.

Men valet på brandvägg faller oftast på något svindyrt (Cisco, Dell m.fl.) på grund av kass prestanda i OpenVPN. Nu finns ju IPSec även i PFSense men det ska tydligen inte vara lika vasst som IPSec hos dom mer etablerade tillverkarna, saknas essentiella funktioner m.m. Har inte ens försökt mig på detta själv om jag ska vara helt ärlig så det är möjligt att det är rent skitsnack.

Permalänk
Medlem
Skrivet av wille61:

Det är ju just det, säkerheten är ännu ej bekräftad så vitt jag vet.

Men valet på brandvägg faller oftast på något svindyrt (Cisco, Dell m.fl.) på grund av kass prestanda i OpenVPN. Nu finns ju IPSec även i PFSense men det ska tydligen inte vara lika vasst som IPSec hos dom mer etablerade tillverkarna, saknas essentiella funktioner m.m. Har inte ens försökt mig på detta själv om jag ska vara helt ärlig så det är möjligt att det är rent skitsnack.

Min poäng var väl att OpenVPN i sig är hyfsat säkert vad jag vet och främst skälet att byta till något annat har med prestanda att göra. pfSense (eller vad man nu kör) är väl bara en tredjedel av ekvationen, där övriga 2 tredjedelar är hårdvaran och nätanslutningen. Kör man pfSense på en Pi och jämför med en toppmodell från Cisco så kanske man är lite fel ute

Permalänk
Medlem

Wireguard är onekligen ett väldigt intressant projekt , det ska bli roligt att testa när det kommit en stabil version & självfallet när fler oberoende personer utvärderat säkerheten

Permalänk
Medlem
Skrivet av improwise:

Min poäng var väl att OpenVPN i sig är hyfsat säkert vad jag vet och främst skälet att byta till något annat har med prestanda att göra. pfSense (eller vad man nu kör) är väl bara en tredjedel av ekvationen, där övriga 2 tredjedelar är hårdvaran och nätanslutningen. Kör man pfSense på en Pi och jämför med en toppmodell från Cisco så kanske man är lite fel ute

Helt klart, missförstå mig rätt..

Min poäng är att en IPSec-tunnel är bättre utformad för att flytta en större mängd krypterad data snabbare på samma hårdvara som en OpenVPN-tunnel (i dom allra flesta fallen).

Detta beror på som jag har förstått det på att OpenVPN är riktigt uselt på att nyttja flera CPU-kärnor, något ett IPSec VPN löser bättre.

Blir det lugnt i sommar på jobbet tänkte jag göra ett test, OpenVPN vs IPSec på två Netgate SG-3100. Både s2s och remote access.

Kan bli en forumtråd om det finns intresse!

Permalänk
Medlem
Skrivet av wille61:

Helt klart, missförstå mig rätt..

Min poäng är att en IPSec-tunnel är bättre utformad för att flytta en större mängd krypterad data snabbare på samma hårdvara som en OpenVPN-tunnel (i dom allra flesta fallen).

Detta beror på som jag har förstått det på att OpenVPN är riktigt uselt på att nyttja flera CPU-kärnor, något ett IPSec VPN löser bättre.

Blir det lugnt i sommar på jobbet tänkte jag göra ett test, OpenVPN vs IPSec på två Netgate SG-3100. Både s2s och remote access.

Kan bli en forumtråd om det finns intresse!

Problemet är väl att få VPN leverantörer erbjuder IPSec vad jag vet, iaf såna som vänder sig till hemmaanvändare. OpenVPN använder väl bara en tråd så användningen av andra kärnor är väl obefintlig, dock kan man köra flera tunnlar.

Då hoppas vi på regn i sommar alltså

Permalänk
Medlem

@improwise: Jag körde ett test med 3st tunnlar samtidigt på en E3-1270 men fick fortfarande inte ut så mycket mer. Från ca 400 till 550mbit. Hoppas wireguard är säkert för prestandan verkar bli gånger 4 mot openvpn.

Permalänk
Medlem
Skrivet av Joulester:

@improwise: Jag körde ett test med 3st tunnlar samtidigt på en E3-1270 men fick fortfarande inte ut så mycket mer. Från ca 400 till 550mbit. Hoppas wireguard är säkert för prestandan verkar bli gånger 4 mot openvpn.

Antar att du menar 3 tunnlar uppsatta som en "lastbalanserare" då och inte bara tre fristående tunnlar? Och hur mätte du, vanliga mätverktyg verkar lite opålitliga när det gäller VPN, i synnerhet med komprimering påslaget.

Permalänk
Medlem

@improwise: stämmer bra! Körde dock bara ett enkelt speedtest. dock så föl det hos mig att jag fick olika ip och behövde ha samma över alla 3 tunnlarna.

Permalänk
Medlem

AES-NI hjälper till viss del men då OpenVPN verkar ha problem att komma upp i högre hastigheter än 220 Mb/s. (Har själv provat på 1gbit linan)

Men framtiden ser ljus ut och nu finns de på flera plattformar och har blivit accepterade i Google's Google's Summer of Code och flera kernel utvecklare för distro's har velat implementera det native i sin distros (https://www.youtube.com/watch?v=04TsF72o-V4)

Får ut 80 Mbit/s med OpenVPN direkt i min Nighthawk router (med DD-WRT) och 240 Mbit/s (ungefär vad jag får ut) med 250/250.

Kan spela FPS spel utan rubberbanding som med OpenVPN.

Har för närvarande inte råd med en Gbit lina längre (nedgraderade innan jag skaffade nya routern), men får jag råd så provar jag självklart hur snabbt den klarar av det.

Skrivet av filbunke:

Osäkert hur säkert Wireguard är.

Skulle vilja påstå att det är mer säkert då det är färre än 4000 rader kod medan OpenVPN har över 100k och krävs team för att verifiera dess säkerhet.

Permalänk
teklager

I have somewhat controversial opinion about why people use VPN in general. Contrary to most people, I don't think security is the most important feature of VPN.

Most users need VPN to establish a stable connection to a home network, office computer, download some torrents, access US-only websites, access Netflix, etc.
If you are using VPN for these purposes, then WireGuard will be a fantastic choice. NSA is not interested in this stuff at all.

I think there's a very small percentage of VPN users in Europe that really need high security. If you are a journalist, or a political dissidents in the middle east, you should perhaps use super secure VPN.

If you are located in Sweden, and want to download some torrents, I would not worry about government trying to break the crypto to impose a piracy fine on you.

I think VPN providers are marketing security too much. Here, in Sweden, we need VPNs to establish private networks over internet, and not to hide our political opinions from the state.

Permalänk
Medlem
Skrivet av teklager:

I have somewhat controversial opinion about why people use VPN in general. Contrary to most people, I don't think security is the most important feature of VPN.

Most users need VPN to establish a stable connection to a home network, office computer, download some torrents, access US-only websites, access Netflix, etc.
If you are using VPN for these purposes, then WireGuard will be a fantastic choice. NSA is not interested in this stuff at all.

I think there's a very small percentage of VPN users in Europe that really need high security. If you are a journalist, or a political dissidents in the middle east, you should perhaps use super secure VPN.

If you are located in Sweden, and want to download some torrents, I would not worry about government trying to break the crypto to impose a piracy fine on you.

I think VPN providers are marketing security too much. Here, in Sweden, we need VPNs to establish private networks over internet, and not to hide our political opinions from the state.

https://en.wikipedia.org/wiki/IB_affair
https://sv.wikipedia.org/wiki/IB

Permalänk
Medlem

Detta var intressant. Det ser dessutom ut som det finns en FreeBSD port nu.
Jag kommer definitivt hålla ögonen på wireguard!

Permalänk
Medlem
Skrivet av moire:

Detta var intressant. Det ser dessutom ut som det finns en FreeBSD port nu.
Jag kommer definitivt hålla ögonen på wireguard!

Håller med om att det ser väldigt intressant ut. Det här är lite samma princip som tex Resilio använder sig av (långa strängar av "key-codes" och sen är man igång).

Det som jag vill är att det fungerar på de vanliga plattformarna, Windows, Linux, Android och iOS. Skulle gärna också vilja ha en funktion för 2FA via tex Google Auth. Dock så ser det ut att inte riktigt passa in då det inte finns någon "connect"-funktionalitet utan är interfacet uppe och alla nycklar rätt så är man uppkopplad.

Permalänk
Medlem

hoppas det kommer till pfsense snart....

Permalänk
teklager
Skrivet av soujiro:

hoppas det kommer till pfsense snart....

OPNSense already supports wireguard, and it runs great on my APU2C4

@improwise you might be interested in this.

Permalänk
Medlem

@teklager: Yes I am, thanks. But turns out that my new router seem to be capable of 500 Mbit/s and above even with OpenVPN

Permalänk
teklager

@improwise: you must have a nice router then